Kritična ranjivost u Teleportu omogućava napadačima daljinsko zaobilaženje kontrole autentifikacije.
Ova sigurnosna prijetnja, označena kao CVE-2025-49825, otkrivena je u popularnoj platformi za siguran pristup Teleport, a omogućava napadačima da daljinski zaobiđu njene mehanizme provjere autentičnosti. Ranjivost pogađa više verzija Teleport infrastrukture, što je rezultiralo hitnim izdvanjem sigurnosnih ažuriranja za sve sisteme. Korisnici Teleport Cloud usluga dobili su automatska ažuriranja kontrolne ravni, dok organizacije koje samostalno upravljaju svojim Teleport agentima moraju preduzeti trenutne mjere kako bi spriječile potencijalne povrede sigurnosti.
Kritični sigurnosni propust, pod oznakom CVE-2025-49825, predstavlja značajnu opasnost za Teleport implementacije širom svijeta. Sigurnosni istraživači su otkrili da ranjivost omogućava zlonamjernim akterima da daljinski zaobiđu procedure provjere autentičnosti, što potencijalno dovodi do neovlaštenog pristupa osjetljivim infrastrukturama i sistemima. Teleport je reagovao izdavanjem ispravljenih verzija za više glavnih izdanja, uključujući verzije 17.5.2, 16.5.12, 15.5.3, 14.4.1, 13.4.27 i 12.4.35. Za korisnike Teleport Cloud usluga, infrastruktura kontrolne ravni je automatski ažurirana. Organizacije koje koriste Managed Updates v2 imale su koristi od automatskih ažuriranja agenata tokom svojih definisanih prozora održavanja 9. juna 2025. godine. Međutim, okruženja bez automatiziranog upravljanja zahtijevaju hitnu ručnu intervenciju radi potpune neutralizacije ranjivosti.
Faktori rizika povezani sa ovim propustom uključuju sve Teleport verzije prije navedenih ispravljenih izdanja, kao i Teleport Cloud instance s neažurnim agentima i samostalna Teleport okruženja bez Managed Updates v2. Posebno su ugroženi Kubernetes deploymenti koji koriste Teleport ssh_service. Glavni uticaj ranjivosti je zaobilaženje autentifikacije, pri čemu su preduvjeti za iskorištavanje uključuju mrežni pristup ranjivim Teleport instancama, ciljanje neažurnih verzija, pokušaj pristupa kontrolama autentifikacije i sposobnost dosezanja Teleport servisnih endpointa. Ovaj kritični propust ima CVSS 3.1 ocjenu 9.8.
Organizacije moraju dati prioritet ažuriranju svih Teleport agenata koji rade na njihovoj infrastrukturi kako bi eliminirale sigurnosne rizike. Najefikasniji pristup podrazumijeva potpuno korištenje Managed Updates v2, što omogućava automatsko upravljanje zakrpama. Sistemski administratori mogu identifikovati ranjive agente koristeći specifične tctl inventarne komande prilagođene različitim rasponima verzija. Nakon identifikacije, agenti se moraju nadograditi na najnovije ispravke koji odgovaraju verziji klastera, koristeći tradicionalne upravitelje paketa kao što su apt ili yum. Po uspješnim nadogradnjama, administratori bi trebali registrovati sve agente izvršavanjem komande `sudo teleport-update enable`, čime se upravljanje prenosi sa tradicionalnih upravitelja paketa.
Tokom procesa reagovanja na ranjivost, organizacije mogu naići na zaključane agente. Ranjivi agenti se automatski zaključavaju kao preventivna mjera, zahtijevajući ažuriranje prije uklanjanja brave. Komanda `tctl alerts ack –ttl 48h` može privremeno potisnuti transparente o ranjivosti radi boljeg upravljanja korisničkim iskustvom dok se ažuriranja ne završe. Kubernetes okruženja zahtijevaju poseban pristup, jer agenti trebaju koristiti `teleport-kube-agent updater` umjesto standardnih `teleport-update` mehanizama. Ovaj updater održava kompatibilnost sa sistemima Managed Updates V1 i V2. Neažurni Kubernetes agenti ostaju ugroženi prilikom pružanja SSH pristupa putem Teleportove ssh_service funkcionalnosti, što naglašava kritičnu važnost trenutnih ažuriranja u svim scenarijima implementacije.
